Sicherheitsexperten fanden die neuartige Spionagesoftware Pegasus, die sich über drei Sicherheitslücken vornehmlich auf iPhones umfassenden Zugriff verschaffen konnte. Diese Meldung versetzte iOS-Nutzer vergangen Woche in Aufruhr. Apple reagierte schnell mit einem Update. Wie funktioniert diese Spyware und wie gefährlich ist sie?
Vergangene Woche erschütterte die Meldung über eine Spionagesoftware, die drei bis dato unbekannte Sicherheitslücken in iOS ausnutzt und sich darüber umfangreichen Zugriff – vornehmlich auf iPhones – gewährt, die Apple-Welt. Entdeckt und untersucht wurde die Spyware „Pegasus“ von den Citizen Labs (University of Toronto) und dem Sicherheitsunternehmen Lookout.
Unbekannte hatten versucht, einen Menschenrechtsaktivisten aus den Vereinigten Arabischen Emiraten auf eine manipulierte Website zu locken. Dieser leitete die SMS mit dem Link jedoch an einen befreundeten Sicherheitsforscher der Citizen Labs weiter. Die anschließende Analyse offenbart die wohl umfangreichste Spyware, die iOS bisher jemals gesehen hat.
Infektionsweg der Spyware
Die unbekannten Angreifer versandten via SMS eine präparierte Webadresse, um dann beim Seitenaufruf das iPhone in eine Wanze zu verwandeln. Denkbar wäre auch der Versand einer Mail gewesen. Wie Lookout in seiner technischen Analyse (PDF) dokumentiert nutzte die schädliche Webseite drei unbekannte Sicherheitslücken in iOS aus. Vereinfacht ausgedrückt, brach die Webseite zunächst aus der Browser-Umgebung aus.
Danach analysierte ein Exploit Speicheradressen im Arbeitsspeicher und schlussendlich gelang durch einen Fehler in der Speicherverwaltung ein Jailbreak des iPhones. Der Exploit war damit der Lage iOS-Schutzmechanismen außer Kraft zu setzen und konnte die Spyware Pegasus auf dem Gerät installieren. Von dem Jailbreak und der Installation der Spionagesoftware bekam der Anwender nichts mit.
Pegasus verwandelt das iPhone in eine Wanze
Die Hacker hatten nun uneingeschränkten Zugriff auf das iPhone. Die gesammelten Informationen wurden teilweise sogar in Echtzeit an die Server der Angreifer gesendet. Pegasus hatte unter anderem Zugriff auf WhatsApp, iMessages, GPS-Daten, Kontaktdaten und vieles mehr. Dem nicht genug, war die Spyware auch in der Lage Mails zu lesen und zu schreiben und konnte Telefongespräche aufzeichnen.
Somit gilt sie als die am weitesten entwickelte iOS-Spionagesoftware, die jemals in freier Wildbahn entdeckt wurde. Laut der Analyse von Citizen Labs und Lookout soll die Spyware von der israelischen Firma NSO Group entwickelt worden sein und wird seit etwa zwei Jahren vertrieben, auch als „Software as a Service“-Lösung.
Apple reagiert schnell mit einem Update
In nur zehn Tagen hat Apple alle drei Lücken geschlossen und die iOS-Version 9.3.5 ist wieder sicher. Jeder iOS-Nutzer sollte das Update schnellstmöglich einspielen, falls noch nicht geschehen. Damit ist eine Infektion über die beschriebene Methode nicht mehr möglich. In diesem Punkt können sich Apple-User glücklicher schätzen als Android-Nutzer. Diese müssen mitunter monatelang oder ewig auf Sicherheitspatches warten. In diesem Punkt: Hut ab, Apple!
Ungeklärt bleibt aber die Frage: Was nach dem Update mit einem zuvor infizierten Gerät geschieht. Vermutlich verbleibt die Spionagesoftware auf dem Gerät, kann aber nicht mehr nach Haus telefonieren. Ohnehin dürfte dies aber nur sehr wenige iOS-Nutzer betreffen.
Wer war von Pegasus betroffen?
Grundsätzlich waren alle iOS-Nutzer vor dem Update von Apple in Gefahr. Aber Pegasus wurde nur sehr gezielt eingesetzt. Dafür spricht schon die SMS mit dem gefährlichen Link und auch, dass die NSO Group ihre Software, laut eigenen Angaben, nur an Regierungen und für gesetzlich legale Zwecke verkauft. Ob das so stimmt, kann man nun glauben oder anzweifeln.
Lookout spricht von einem Einstiegspreis von 25.000 US-Dollar pro Gerät. Das ist schon eher ein Indiz, dass hier wohl keine Massenspionage betrieben wurde. Konkret richtet sich eine mögliche Infektion mit Pegasus nach dem Bekanntheitsgrad der Zielperson. Citizen Labs fand weitere Anhaltspunkte für die Verteilung der Spyware in Kenia und Mexiko. Die Masse der deutschen Bürger sollte ebenso wenig in ernster Gefahr gewesen sein.
Wer trotzdem prüfen möchte, ob er eventuell mit Pegasus infiziert wurde, kann auf die gleichnamige App von Lookout zurückgreifen. Leider wird hier eine Registrierung beim Anbieter vorausgesetzt. Lookout ist nur in der Lage die Spyware zu erkennen, kann diese allerdings nicht entfernen. Weitere, einfachere und bessere Tools, lassen noch auf sich warten. Also nicht unbedingt die beste Wahl.
Also keine Panik oder doch?
Nein, von Panik kann keine Rede sein. Pegasus betraf nur einen kleinen Kreis der Weltbevölkerung. Darunter jedoch auch wichtige Personen, wie Menschenrechtsaktivisten, Journalisten, vielleicht auch Politiker. Das wissen wir aber nicht genau. Pegasus scheint vorerst gestoppt zu sein. Doch, die Spyware ist wohl nicht die einzige ihrer Art und die Gefahr, dass neue Sicherheitslücken auftauchen besteht nach wie vor.
Wer weiß, welche Hintertüren noch in iOS klaffen und unbemerkt ausgenutzt werden (könnten). iOS-Nutzer müssen jetzt aber nicht wie bei Android mit einer Flut an Schadsoftware rechnen. Apple legt bei iOS viel Wert auf moderne und hochwertige Sicherheitskonzepte und hat mit dem zügigen Update vorbildlich reagiert.
